<p><!--META { "title": "Microsoft Entra 条件付きアクセスで多要素認証を強制するアーキテクチャと実装", "primary_category": "クラウド>Azure", "secondary_categories": ["セキュリティ", "アイデンティティ管理"], "tags": ["Microsoft Entra ID", "条件付きアクセス", "MFA", "多要素認証", "Graph API", "PowerShell", "Azure Security"], "summary": "Microsoft Entra 条件付きアクセスによるMFA強制のアーキテクチャ、設定手順、運用監視、セキュリティ、コスト、落とし穴を解説します。", "mermaid": true, "verify_level": "L0", "tweet_hint": {"text":"Microsoft Entra 条件付きアクセスでMFAを強制し、セキュリティを強化するアーキテクチャと実装ガイド。GUI/Graph APIでの設定、運用、コスト、注意点まで詳しく解説。 #MicrosoftEntraID #MFA #条件付きアクセス","hashtags":["#MicrosoftEntraID","#MFA","#条件付きアクセス"]}, "link_hints": ["https://learn.microsoft.com/ja-jp/entra/identity/conditional-access/overview","https://learn.microsoft.com/ja-jp/entra/identity/conditional-access/howto-conditional-access-mfa-all-users","https://learn.microsoft.com/ja-jp/entra/identity/conditional-access/best-practices"] } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">Microsoft Entra 条件付きアクセスで多要素認証を強制するアーキテクチャと実装</h1> <p>クラウドサービスへのアクセスは、従来の境界型セキュリティモデルでは不十分であり、IDベースのセキュリティが重要性を増しています。特に、多要素認証（MFA）はID関連の攻撃から組織を保護するための最も効果的な手段の一つです。Microsoft Entra ID（旧Azure AD）の「条件付きアクセス」は、MFAを強制するための強力なツールであり、特定の条件に基づいてユーザーにMFAを要求することで、セキュリティと利便性のバランスを取ります。本記事では、Microsoft Entra 条件付きアクセスを用いたMFA強制のアーキテクチャ、具体的な設定手順、運用監視、セキュリティ考慮事項、コスト、および導入時の落とし穴について解説します。</p> <h2 class="wp-block-heading">1. Microsoft Entra 条件付きアクセスでMFAを強制するアーキテクチャ</h2> <p>Microsoft Entra 条件付きアクセスは、ユーザーがクラウドアプリケーションにアクセスしようとした際に、リアルタイムでさまざまなシグナル（ユーザー、場所、デバイス、アプリケーション、リアルタイムのリスクなど）を評価し、その評価に基づいてアクセスを許可するか、MFAを要求するか、アクセスをブロックするかを決定するポリシーエンジンです[1]。MFAの強制はこのポリシーによって実現されます。</p> <h3 class="wp-block-heading">1.1. 主要コンポーネント</h3> <ul class="wp-block-list"> <li><p><strong>ユーザー</strong>: クラウドアプリケーションへのアクセスを試みるエンティティ。</p></li> <li><p><strong>アプリケーション</strong>: Microsoft 365やSaaSアプリ、カスタム開発アプリなど、保護対象のリソース。</p></li> <li><p><strong>Microsoft Entra ID</strong>: ユーザー認証を一元的に管理するIDプロバイダー。</p></li> <li><p><strong>条件付きアクセスエンジン</strong>: Microsoft Entra IDに統合され、サインイン要求時にポリシーを評価します。</p></li> <li><p><strong>MFAプロバイダー</strong>: Microsoft Authenticatorアプリ、FIDO2セキュリティキー、電話など、多要素認証を実行するサービス。</p></li> </ul> <h3 class="wp-block-heading">1.2. 認証フロー</h3> <p>条件付きアクセスによってMFAが強制される際の認証フローは以下の図のようになります。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["ユーザー"] --> |1. サインイン要求| B("アプリケーション"); B --> |2. 認証要求| C["Microsoft Entra ID"]; C --> |3. 条件付きアクセスポリシー評価| D{"条件付きアクセスエンジン"}; D -- MFAが必須の場合 --> E["MFAプロバイダー"]; D -- MFAが不要/除外の場合 --> F["リソースへのアクセス許可"]; E --> |4. MFA認証成功| C; C --> |5. アクセストークン発行| B; B --> |6. リソースアクセス| G["保護されたリソース"]; F --> |直接アクセス許可| B; D -- MFAが必要だが失敗 --> H["アクセス拒否"]; </pre></div> <p>このフローでは、ユーザーのサインイン要求がMicrosoft Entra IDに送られた後、条件付きアクセスエンジンが構成されたポリシーを評価します。MFAが要求される条件に合致した場合、MFAプロバイダーによる追加の認証が求められます。MFAが成功するとアクセストークンが発行され、ユーザーはアプリケーションにアクセスできます。</p> <h2 class="wp-block-heading">2. 設定手順</h2> <p>条件付きアクセスを利用するには、Microsoft Entra ID P1またはP2ライセンスが必要です[4]。</p> <h3 class="wp-block-heading">2.1. Microsoft Entra 管理センターでの設定</h3> <p>最も一般的な方法は、Microsoft Entra 管理センター（旧Azure Portal）のGUIを使用することです[2]。</p> <ol class="wp-block-list"> <li><p><strong>前提条件</strong>:</p> <ul> <li><p>Microsoft Entra ID P1以上のライセンスが割り当てられていること。</p></li> <li><p>ユーザーがMFA登録済みであること（または、セキュリティの既定値群が有効になっていること）。</p></li> </ul></li> <li><p><strong>ポリシー作成</strong>:</p> <ol> <li><p>Microsoft Entra 管理センター (<code>https://entra.microsoft.com/</code>) に管理者アカウントでサインインします。</p></li> <li><p>左側のナビゲーションで <strong>[保護]</strong> > <strong>[条件付きアクセス]</strong> を選択します。</p></li> <li><p><strong>[新しいポリシー]</strong> > <strong>[新しいポリシーを作成する]</strong> をクリックします。</p></li> <li><p><strong>[名前]</strong> を入力します（例: <code>All Users Require MFA for All Cloud Apps</code>）。</p></li> <li><p><strong>[ユーザー]</strong>:</p> <ul> <li><p><strong>[含める]</strong> で <strong>[すべてのユーザー]</strong> を選択します。</p></li> <li><p><strong>[除外]</strong> で <strong>[緊急アクセスアカウント]</strong> を指定します[3]。これにより、ポリシーの誤設定やEntra IDの問題発生時に誰もサインインできなくなる事態を防ぎます。</p></li> </ul></li> <li><p><strong>[ターゲットリソース]</strong>:</p> <ul> <li><strong>[含める]</strong> で <strong>[すべてのクラウド アプリ]</strong> を選択します。特定のアプリケーションのみを対象とすることも可能です。</li> </ul></li> <li><p><strong>[条件]</strong>: （オプション）</p> <ul> <li><p><strong>[場所]</strong>: 特定の国/地域からのアクセスのみMFAを要求する、あるいは信頼できるIPアドレスからのアクセスは除外するといった設定が可能です。</p></li> <li><p><strong>[デバイスプラットフォーム]</strong>: iOS/Android/Windowsなど、特定のOSからのアクセスのみMFAを要求することもできます。</p></li> <li><p><strong>[サインイン リスク]</strong>: Microsoft Entra ID Protectionのサインインリスクレベルに基づいてMFAを要求できます（Microsoft Entra ID P2が必要）。</p></li> </ul></li> <li><p><strong>[アクセス制御]</strong>:</p> <ul> <li><strong>[許可]</strong> を選択し、<strong>[多要素認証を要求する]</strong> にチェックを入れます。</li> </ul></li> <li><p><strong>[ポリシーの有効化]</strong>:</p> <ul> <li><p>最初は <strong>[レポート専用]</strong> モードで作成し、ポリシーの影響を評価します[6]。</p></li> <li><p>影響がないことを確認したら、<strong>[オン]</strong> に切り替えてポリシーを有効にします。</p></li> </ul></li> </ol></li> </ol> <h3 class="wp-block-heading">2.2. PowerShell / Microsoft Graph APIでの設定例</h3> <p>PowerShellとMicrosoft Graph APIを使用して、条件付きアクセスポリシーをコードとして管理することも可能です。これにより、IaC (Infrastructure as Code) の原則に従ってポリシーを展開し、バージョン管理できます[5]。</p> <p>以下のPowerShellスクリプトは、すべてのユーザーに対してすべてのクラウドアプリでMFAを要求するポリシーを作成する例です。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># PowerShell Graph SDKのインストールと接続 # 必要に応じてInstall-Module Microsoft.Graph -Scope CurrentUser を実行 Connect-MgGraph -Scopes "Policy.ReadWrite.ConditionalAccess" # 緊急アクセスアカウントのグループID (事前に作成しておく) # 例: $EmergencyAccessGroupId = (Get-MgGroup -Filter "DisplayName eq 'Emergency Access Accounts'").Id $PolicyName = "All Users Require MFA for All Cloud Apps" # 条件付きアクセス ポリシーの定義 (JSON形式) $CAPolicyBody = @{ displayName = $PolicyName state = "enabledForReportingButBlocked" # レポート専用モードで開始 conditions = @{ applications = @{ includeApplications = @("All") } users = @{ includeUsers = @("All") # excludeGroups = @($EmergencyAccessGroupId) # 緊急アクセスグループを除外する場合 } } grantControls = @{ operator = "AND" builtInControls = @("mfa") # 多要素認証を要求 } } | ConvertTo-Json -Depth 5 # ポリシーの作成 try { $Policy = New-MgIdentityConditionalAccessPolicy -BodyParameter $CAPolicyBody Write-Host "条件付きアクセス ポリシー '$($Policy.DisplayName)' を作成しました。ID: $($Policy.Id)" Write-Host "最初はレポート専用モードで有効化されています。影響を評価してください。" } catch { Write-Error "ポリシーの作成中にエラーが発生しました: $($_.Exception.Message)" } # 参考: ポリシーを有効にするには、以下のコマンドを実行 # $PolicyId = "<作成されたポリシーのID>" # Update-MgIdentityConditionalAccessPolicy -ConditionalAccessPolicyId $PolicyId -BodyParameter @{ state = "enabled" } # コメント: # - Connect-MgGraph で必要なスコープ (Policy.ReadWrite.ConditionalAccess) を指定。 # - displayName: ポリシーの名前。 # - state: ポリシーの状態。 # - "enabledForReportingButBlocked": レポート専用モード（影響を評価するために推奨）。 # - "enabled": ポリシーを有効化。 # - "disabled": ポリシーを無効化。 # - conditions: ポリシーが適用される条件を定義。 # - applications.includeApplications: どのクラウドアプリに適用するか。"All"はすべてのアプリ。 # - users.includeUsers: どのユーザーに適用するか。"All"はすべてのユーザー。 # - users.excludeGroups: 特定のグループ（例: 緊急アクセスアカウント）を除外。 # - grantControls: アクセスを許可するための制御。 # - builtInControls: "mfa" は多要素認証を要求。 # - 作成後は、Microsoft Entra 管理センターでレポートを確認し、問題がなければ `state` を "enabled" に更新する。 </pre> </div> <h2 class="wp-block-heading">3. 運用監視</h2> <p>条件付きアクセスは一度設定すれば終わりではなく、継続的な監視と調整が必要です。</p> <h3 class="wp-block-heading">3.1. 監査とレポート</h3> <ul class="wp-block-list"> <li><p><strong>レポート専用モード</strong>: ポリシーを本稼働環境に展開する前に、<strong>レポート専用モード</strong>で動作させることで、ポリシーがユーザーにどのような影響を与えるかをシミュレーションできます[6]。これにより、予期せぬアクセスブロックを防ぎます。</p></li> <li><p><strong>サインインログ</strong>: Microsoft Entra IDの<strong>サインインログ</strong>は、条件付きアクセスの結果を確認する上で不可欠です。どのポリシーが適用され、アクセスが許可されたか、あるいは拒否されたかを詳細に確認できます。ログはAzure MonitorのLog Analyticsワークスペースにエクスポートし、KQL（Kusto Query Language）を使って高度な分析やアラート設定を行うことが推奨されます。</p></li> <li><p><strong>監査ログ</strong>: 条件付きアクセス ポリシー自体の変更は、Microsoft Entra IDの<strong>監査ログ</strong>で追跡できます。</p></li> </ul> <h3 class="wp-block-heading">3.2. 緊急アクセスアカウント</h3> <p>組織全体のロックアウトを防ぐため、最低2つの<strong>緊急アクセスアカウント</strong>を条件付きアクセス ポリシーから除外することが<strong>必須</strong>です[3]。これらのアカウントは厳重に管理し、通常の運用では使用せず、緊急時のみアクセスできるようにします。</p> <h3 class="wp-block-heading">3.3. SLAとDR</h3> <p>Microsoft Entra IDは、MicrosoftによってSLA (Service Level Agreement) が提供され、高い可用性（通常99.9%以上）が保証されています。地理的冗長性もMicrosoft側で管理されており、ユーザー側で特別な災害復旧（DR）計画を立てる必要は通常ありません。MFA認証方法の多様化（Authenticatorアプリ、FIDO2キー、SMS、電話など）は、特定の認証方法が一時的に利用できない場合の冗長性として機能します。</p> <h2 class="wp-block-heading">4. セキュリティ</h2> <p>条件付きアクセスは、Entra IDのセキュリティ体制を強化する上で中心的な役割を果たします。</p> <ul class="wp-block-list"> <li><p><strong>最小権限の原則</strong>: 条件付きアクセス ポリシーの管理には、<strong>条件付きアクセス管理者</strong>などの最小限の権限を持つロールを割り当てます。グローバル管理者以外の担当者にポリシー管理を委任することで、権限の分離を図ります。</p></li> <li><p><strong>Entra ID Protectionとの連携</strong>: Microsoft Entra ID P2ライセンスを導入している場合、<strong>Entra ID Protection</strong>が提供するユーザーリスクおよびサインインリスクの検出を活用できます[4]。条件付きアクセス ポリシーでこれらのリスクレベルを条件に含めることで、例えば「低リスクのサインインからはMFAを要求せず、高リスクのサインインからはMFAとパスワード変更を要求する」といった、より動的でアダプティブなセキュリティ対策を実現できます。</p></li> </ul> <h2 class="wp-block-heading">5. コスト</h2> <p>条件付きアクセスの利用には、Microsoft Entra IDのライセンス費用が発生します。</p> <ul class="wp-block-list"> <li><p><strong>ライセンス要件</strong>: 条件付きアクセスの機能を利用するには、Microsoft Entra ID P1またはP2ライセンスが必要です[4]。MFA自体は、Security Defaultsを有効にすることで無料で利用可能ですが、条件付きアクセスのような詳細な制御はできません。</p></li> <li><p><strong>コスト最適化</strong>:</p> <ul> <li><p><strong>P1/P2ライセンスの最適化</strong>: 条件付きアクセスを必要とするユーザーにのみP1またはP2ライセンスを割り当てることで、ライセンスコストを最適化できます。</p></li> <li><p><strong>Log Analyticsのデータ保持</strong>: サインインログや監査ログをAzure MonitorのLog Analyticsにエクスポートする場合、データ保持期間に応じてコストが発生します。必要な期間のみデータを保持するように設定することで、コストを抑えることができます。</p></li> </ul></li> </ul> <h2 class="wp-block-heading">6. 落とし穴とベストプラクティス</h2> <h3 class="wp-block-heading">6.1. 誤設定のリスク</h3> <p>条件付きアクセスは強力なツールですが、誤って設定すると、ユーザーがサービスにアクセスできなくなる「ロックアウト」を引き起こす可能性があります。</p> <ul class="wp-block-list"> <li><p><strong>緊急アクセスアカウントの未設定</strong>: これが最も危険な落とし穴です。必ず事前に緊急アクセスアカウントを設定し、ポリシーから除外してください。</p></li> <li><p><strong>すべてのユーザー/すべてのクラウドアプリへの一斉適用</strong>: 大規模な組織では、一部のレガシーアプリケーションやスクリプトがMFAに対応していない場合があります。また、特定のグループや部門にのみMFAを適用したいケースもあります。</p></li> </ul> <h3 class="wp-block-heading">6.2. 段階的導入とテスト</h3> <ul class="wp-block-list"> <li><p><strong>レポート専用モードの活用</strong>: ポリシーを本稼働環境で有効にする前に、必ずレポート専用モードでテスト期間を設けてください[6]。これにより、ポリシーの影響範囲を正確に把握し、予期せぬ問題を特定できます。</p></li> <li><p><strong>段階的ロールアウト</strong>: すべてのユーザーに一斉にMFAを強制するのではなく、まずは少数のテストユーザーグループ、次に部門ごと、といった段階的なロールアウトを検討してください。</p></li> <li><p><strong>ユーザー教育とサポート</strong>: MFAの導入はユーザーエクスペリエンスに影響を与えます。導入前にユーザーへの十分な教育を行い、FAQやトラブルシューティングガイドを提供し、サポート体制を確立することが重要です。</p></li> </ul> <h2 class="wp-block-heading">7. まとめ</h2> <p>Microsoft Entra 条件付きアクセスは、Microsoft Entra IDにおけるIDベースのセキュリティを強化し、多要素認証を柔軟かつ効果的に強制するための重要な機能です。アーキテクチャの理解、GUIまたはMicrosoft Graph APIを用いた正確な設定、そしてレポート専用モードを活用した徹底的なテストを通じて、安全かつ円滑なMFA強制環境を構築することができます。運用監視、緊急アクセスアカウントの管理、そしてコスト最適化の考慮も、長期的なセキュリティ運用には不可欠です。これらのベストプラクティスを遵守することで、組織はデジタル資産をより強固に保護し、ID関連の脅威から防御することが可能になります。</p> <hr/> <p><strong>参考資料</strong> [1] Microsoft Learn: 条件付きアクセスとは？ – Microsoft Entra (2024年4月22日更新). URL: <code>https://learn.microsoft.com/ja-jp/entra/identity/conditional-access/overview</code> [2] Microsoft Learn: Microsoft Entra Conditional Access で多要素認証を要求する – Microsoft Entra (2024年4月11日更新). URL: <code>https://learn.microsoft.com/ja-jp/entra/identity/conditional-access/howto-conditional-access-mfa-all-users</code> [3] Microsoft Learn: Microsoft Entra 条件付きアクセスを展開するためのベスト プラクティス – Microsoft Entra (2024年4月11日更新). URL: <code>https://learn.microsoft.com/ja-jp/entra/identity/conditional-access/best-practices</code> [4] Microsoft Learn: Microsoft Entra ID のライセンスの基本 (2024年4月22日更新). URL: <code>https://learn.microsoft.com/ja-jp/entra/identity/fundamentals/licensing-basics</code> [5] Microsoft Learn: 条件付きアクセス API の概要 (2024年2月21日更新). URL: <code>https://learn.microsoft.com/ja-jp/graph/api/resources/conditionalaccess-overview?view=graph-rest-1.0</code> [6] Microsoft Learn: 条件付きアクセスのレポート専用モードとは – Microsoft Entra (2024年4月11日更新). URL: <code>https://learn.microsoft.com/ja-jp/entra/identity/conditional-access/concept-conditional-access-report-only</code></p>

graph TD
    A["ユーザー"] --> |1. サインイン要求| B("アプリケーション");
    B --> |2. 認証要求| C["Microsoft Entra ID"];
    C --> |3. 条件付きアクセスポリシー評価| D{"条件付きアクセスエンジン"};
    D -- MFAが必須の場合 --> E["MFAプロバイダー"];
    D -- MFAが不要/除外の場合 --> F["リソースへのアクセス許可"];
    E --> |4. MFA認証成功| C;
    C --> |5. アクセストークン発行| B;
    B --> |6. リソースアクセス| G["保護されたリソース"];
    F --> |直接アクセス許可| B;
    D -- MFAが必要だが失敗 --> H["アクセス拒否"];

# PowerShell Graph SDKのインストールと接続


# 必要に応じてInstall-Module Microsoft.Graph -Scope CurrentUser を実行

Connect-MgGraph -Scopes "Policy.ReadWrite.ConditionalAccess"

# 緊急アクセスアカウントのグループID (事前に作成しておく)


# 例: $EmergencyAccessGroupId = (Get-MgGroup -Filter "DisplayName eq 'Emergency Access Accounts'").Id

$PolicyName = "All Users Require MFA for All Cloud Apps"

# 条件付きアクセス ポリシーの定義 (JSON形式)

$CAPolicyBody = @{
    displayName = $PolicyName
    state = "enabledForReportingButBlocked" # レポート専用モードで開始
    conditions = @{
        applications = @{
            includeApplications = @("All")
        }
        users = @{
            includeUsers = @("All")

            # excludeGroups = @($EmergencyAccessGroupId) # 緊急アクセスグループを除外する場合

        }
    }
    grantControls = @{
        operator = "AND"
        builtInControls = @("mfa") # 多要素認証を要求
    }
} | ConvertTo-Json -Depth 5

# ポリシーの作成

try {
    $Policy = New-MgIdentityConditionalAccessPolicy -BodyParameter $CAPolicyBody
    Write-Host "条件付きアクセス ポリシー '$($Policy.DisplayName)' を作成しました。ID: $($Policy.Id)"
    Write-Host "最初はレポート専用モードで有効化されています。影響を評価してください。"
}
catch {
    Write-Error "ポリシーの作成中にエラーが発生しました: $($_.Exception.Message)"
}

# 参考: ポリシーを有効にするには、以下のコマンドを実行


# $PolicyId = "<作成されたポリシーのID>"


# Update-MgIdentityConditionalAccessPolicy -ConditionalAccessPolicyId $PolicyId -BodyParameter @{ state = "enabled" }

# コメント:


# - Connect-MgGraph で必要なスコープ (Policy.ReadWrite.ConditionalAccess) を指定。


# - displayName: ポリシーの名前。


# - state: ポリシーの状態。


#   - "enabledForReportingButBlocked": レポート専用モード（影響を評価するために推奨）。


#   - "enabled": ポリシーを有効化。


#   - "disabled": ポリシーを無効化。


# - conditions: ポリシーが適用される条件を定義。


#   - applications.includeApplications: どのクラウドアプリに適用するか。"All"はすべてのアプリ。


#   - users.includeUsers: どのユーザーに適用するか。"All"はすべてのユーザー。


#   - users.excludeGroups: 特定のグループ（例: 緊急アクセスアカウント）を除外。


# - grantControls: アクセスを許可するための制御。


#   - builtInControls: "mfa" は多要素認証を要求。


# - 作成後は、Microsoft Entra 管理センターでレポートを確認し、問題がなければ `state` を "enabled" に更新する。